Auteur Sujet: DNS perso + pfsense : pas de résolution (Lu 3241 fois)

renaud07 · « **le:** 02 juillet 2018 à 21:29:42 »

Bonsoir,

Je test le remplacement de ma livebox par un pfsense, seulement j'ai un problème assez étrange : Je possède un DNS interne et lorsque celui-ci est connecté au net via le pfsense, la résolution des noms ne fonctionne plus. Si je remet la livebox tout refonctionne immédiatement...

Le plus étrange c'est que je peux sans problème accéder au net si je renseigne les DNS de google ou autre manuellement sur un poste. De même je peux pinger les forwarders via leur ip (dns FDN) depuis le serveur, mais lorsque bind envoie une requête, il n’obtient aucune réponse...

Sur le coup j'ai pensé que ça puisse être un problème d'ARP, mais non.

Merci d'avance.

Catalyst · « **Réponse #1 le:** 02 juillet 2018 à 21:55:18 »

Citer

je peux pinger les forwarders via leur ip (dns FDN) depuis le serveur, mais lorsque bind envoie une requête, il n’obtient aucune réponse...

Et que donnent d'autres resolvers que FDN ? 8.8.8.8, 1.1.1.1 ...

renaud07 · « **Réponse #2 le:** 02 juillet 2018 à 22:37:01 »

A priori même comportement. J'ai essayé de mettre les DNS google dans resolv.conf (donc on bypass bind) et ça ne fonctionne pas non plus (même après un reboot). Sachant que les DNS de FDN fonctionnent bien sur les autres PC si je les renseigne manuellement.

Je précise que le serveur DNS et pfsense sont virtualisés sur proxmox, je ne sais pas si ça peut avoir une influence. Je n'ai pas non plus de règle de firewall sur PFS qui bloquerait la résolution (config par défaut).

Faut que je test avec Vyos pour voir.

renaud07 · « **Réponse #3 le:** 04 juillet 2018 à 22:37:12 »

J'ai finalment testé vyos et ça fonctionne ! Je laisse donc pfsense de côté pour le moment.

Par contre j'ai l’impression qu'il y a un problème avec les dépôts car si je lance un apt-get update j'ai droit à ça :

Code: [Sélectionner]

root@vyos:/usr/local/src/noip-2.1.9-1# apt-get update
Ign http://packages.vyos.net helium Release.gpg
Ign http://packages.vyos.net/vyos/ helium/main Translation-en
Ign http://packages.vyos.net helium Release
Err http://packages.vyos.net helium/main amd64 Packages
  404  Not Found
W: Failed to fetch http://packages.vyos.net/vyos/dists/helium/main/binary-amd64/Packages.gz  404  Not Found

E: Some index files failed to download, they have been ignored, or old ones used instead.

Et quand on va directement sur packages.vyos.net le répertoire vyos n'existe tout simplement pas

Il n'y a que iso et tools

renaud07 · « **Réponse #4 le:** 05 juillet 2018 à 02:21:46 »

J'avais une autre question concernant le pare-feu. Comme je n'ai pas trouvé d’exemple probant dans la doc (tout bloquer en entrée), j'ai copié celui des tutos de l'ERL.

Lorsque j'ai voulu créer mes règles de NAT, j'ai suivi bêtement l'exemple la doc, ce qui donne ceci :

Code: [Sélectionner]

name OUTSIDE-IN {
        default-action drop
        rule 20 {
            action accept
            destination {
                address 192.168.1.3
                port 2223
            }
            protocol tcp
            state {
                new enable
            }
        }
        rule 21 {
            action accept
            destination {
                address 192.168.1.4
                port 5260
            }
            protocol udp
            state {
                new enable
            }
        }
        rule 22 {
            action accept
            destination {
                address 192.168.1.4
                port 10000-20000
            protocol udp
            state {
                new enable
            }
        }
    }

nat {
    destination {
        rule 300 {
            description SSH
            destination {
                port 2223
            }
            inbound-interface pppoe0
            protocol tcp
            translation {
                address 192.168.1.3
                port 22
            }
        }
        rule 301 {
            description RTP
            destination {
                port 10000-20000
            }
            inbound-interface pppoe0
            protocol udp
            translation {
                address 192.168.1.4
                port 10000-20000
            }
        }
        rule 302 {
            description SIP
            destination {
                port 5260
            }
            inbound-interface pppoe0
            protocol udp
            translation {
                address 192.168.1.4
                port 5260
            }
        }
    }

Dans cette config la connexion ssh et sip fonctionne mais je n'ai pas de son donc a priori la règle rtp est en carafe, une idée ? J'ai à tout hasard voulu ajouter OUTSIDE-IN à l'interface pppoe0 en in, comme WAN_IN, mauvaise idée, un commit plus tard la session ssh s'est coupée et je n'ai plus accès à rien

renaud07 · « **Réponse #5 le:** 08 juillet 2018 à 00:44:23 »

J'ai finalement trouvé la raison de la perte d'audio, une option d'asterisk que j'avais oublié de cocher (Replace the IP or if it matches the external host LAN matchexterniplocally). Par contre à la seconde tentative de paramétrage après avoir débloqué le bouzin, plus rien ne fonctionnait malgré les règles de pare-feu...

Du coup j'ai mis mon second BT home hub 5 sous LEDE... paramétrage 5 min chrono.

Vyos c'est bien mais un peu trop prise de tête, je m'y remettrais peut-être un jour...